Siber Saldırı Senaryosu Nasıl Gerçekleştirilir? Duygu ateş
Siber Saldırı Nedir? Siber saldırının en genel tanımı ; Bilgi sistemleri doğrultusunda elektronik araçların bilgisayar programlarının ya da diğer elektronik iletişim biçimlerinin kullanılması aracılığıyla ulusal denge ve çıkarların tahrip edilmesini amaçlayan kişisel ve politik olarak motive olmuş amaçlı eylem ve etkinliklerdir. Günümüzde yaygınlaşan internet kullanımıyla birlikte siber saldırı, bir diğer deyişle sanal saldırı olayları da artmaktadır.
Hacker ve Cracker Nedir? Türkiye'de bu iki farklı tanım için bir kavram karmaşası olduğu gözlenmektedir. Hacker'lar genellikle cracker kimlikleri ile karşımıza çıktığı için genellikle sistemlere sızan zarar veren kötü kişiler olarak bilinirler. Oysaki bu iki tanımında ne anlama geldiğini incelediğimizde aslında ikisinin de birbirinden farklı olduğunu göreceğiz.
Hacker'lar her türlü işletim sisteminin yapısı ve derinlikleriyle ilgilenen kişilerdir. Hackerlar genellikle çok iyi programcılardır ve işletim sistemleriyle ve programlama dilleriyle ilgili olarak çok üst düzeyde bilgiye sahiptirler. Sistemlerde bulunan açıkları ve sebeplerini iyi bilirler ve hepsinden önemlisi hackerlar her zaman için daha fazla şey öğrenmek için uğraşırlar ve de öğrendiklerini diğerleriyle paylaşırlar. Hiç bir zaman kasıtlı olarak zarar verme eğiliminde değildirler. Cracker'lar kötü niyetli kişilerdir ve sistemlere girerek bilgi çalarlar ve sisteme zarar verebilirler. Hedeflerine sızmayı başaran crackerlar önemli bilgileri silebilir sistemin işleyişini durdurabilirler, kısacası gittikleri yere sorunları da beraberinde götürürler. Bu kötü niyetleri ve işleri yüzünden crackerları tanımak çok kolaydır.
Firewall Ne Demektir? Temel olarak firewall ağ sistemlerini internet ortamından gelecek kötü kodlar, virüsler, hackerlar ve zararlı web siteleri gibi birçok olumsuz içerikten korumak için tasarlanmış donanımlardır.
Firewall lar yukardaki resimde gösterildiği gibi veri paketlerinin geçişine izin verir ya da reddeder. Buna paket filtrelemesi denir. Firewall lar ağ trafiğini denetlemek için birkaç method kullanırlar. Paket filtrelemesi de bunlardan biridir. Firewall bazı ön tanımlı konfigrasyonlarla gelirler bunlar; Ip adresleri Alan adları (domain names) Protokoller IP, TCP, HTTP, FTP, UDP, ICMP, SMTP,SNMP, TELNET Portlar Belli başlı kelimelere göre
Neden Firewall Güvenliğine İhtiyacımız Var remote login - uzaktan erişim Aplication back doors – arka kapı uygulamaları Dos (denial of service) attacks - Servis reddi atakları Smtp Session Hijacking - Eposta protokolü oturum çalınması Operating system bugs - İşletim sistemi hataları Email bombs - Eposta bombaları Macros - Makrolar Virusus – Bilgisayar virüsleri Spam - Zararlı epostalar Source rating- Kaynak Saptırma
Saldırı Senaryosu Cracker’in planli yaptığı bir saldıryı adım adım anlatacağım şimdi. Öncelikle saldiri yaplacak hedef sistemde herhangi bir firewall olmadigini var sayiyoruz. (Tabi artik günümüzde firewall network icin vazgecilmez bir arac haline gelmistir ve gün gectikce Internet’e bir sekilde firewall kullanmadan baglanan bir sistem bulmak imkansizlasmaktadir.) Burada anlatilacak olan teknikler cracking icin genel bir yöntemdir. Yani her türlü sisteme saldirmak icin kullanilabilir ancak biz UNIX sistemi acisindan saldirilari inceleyecegiz.
8 aşamadan oluşmaktadır. Bunlar; Bilgi Toplama İşletim Sisteminin Belirlenmesi Açıkların Aranması Test Saldırısı Yapılması Kullanılacak Araçlar Saldırı Stratejisinin Belirlenmesi İnceleme Aşaması Sonuç Bu aşamaları adım adım görelim.
Bilgi Toplama Cracker ilk olarak karşıdaki sistemin network tipini ve hedef makineler hakkında bilgi edindikten sonra, hedef sistemde uğraştığı kişiyi tanımak için onunla ilgili bilgi toplamaya çalışacaktır. Söz konusu kişi tabi ki sistemin yöneticiliğini yapan root erişimine sahip yöneticidir. Cracker sistem hakkında bilgi toplamak için aşağıdaki teknikleri kullanacaktır: a) Ağda bulunan tüm sistemlerle ilgili bilgi toplamak için host sorgusu çalıştıracaktır. Host komutu domain adi sunucularını (DNS servers) sorgulayarak ağ hakkındaki bulunabilecek tüm bilgileri toplar. DNS server o domainle ilgili bir çok bilgi tutarlar, asil amacı alan adlarını IP numaralarına dönüştürmektir
b-) Standart WHOIS sorgusu (alan adı sorgulama) b-) Standart WHOIS sorgusu (alan adı sorgulama). Bu sorguyla cracker o sistemin teknik sorumlusunun bilgilerini almak için kullanır. Bu kişinin e-posta adresi fazla önemli gibi görünmese de bu adres sistem hakkında çok önemli bilgiler toplamak için kullanılabilir. c-) Usenet ve Web sayfalarında aram yapmak. Cracker sisteme saldırmadan önce şimdiye kadar öğrendiği bilgiler doğrultusunda Internet’te o sistemle ilgili daha fazla bilgiye erişmek için aramalar yapacaktır. Yani Cracker eline geçirdiği sistem yöneticilerin yada teknik sorumluların e-posta adreslerini kullanarak bu kişilerin Usenet yada güvenlikle ilgili mail listelerinde görünüp görünmediklerini araştırır.
Finger Sorguları Finger Sorguları : Finger sorguları bir cracker için yukarıda değindiğimiz gibi sistem hakkında çok fazla bilgi verebilir. Sistemde logon olmuş kullanıcı ID’lerini, isimlerini, en son login oldukları yeri, mail bilgileri gibi bir çok bilgi verir. Cracker’imiz saldırdığı sistemde şüphe uyandırmamak için Internet’te yüzlerce sitede bulunabilecek “finger gateway” lerini kullanacaktır. Bu sunucular bir web sayfasından kullanıcıdan finger sorgusu gönderilecek olan sunucu adresini alır ve o sunucuya finger sorgusunu yollayarak yine sonuçları ekrana getirir. Böylece cracker kendi gerçek IP numarasının saldırdığı sistem loglarinda görünmesini engelleyebilir.
Tabi aslında bu gerçek bir gizlilik sağlamaz, hedef sistemdeki sistem yöneticisi çok fazla paranoyaksa bu finger gateway sunucusunun sistem yöneticisi ile temasa geçerek cracker’in gerçek IP adresini ele geçirebilir. Bu şekilde çalışan diğer bir yöntemse finger yönlendirmedir. Bu şekilde çalışan diğer bir yöntemse finger yönlendirme işlemidir. Daha önceki bölümde gördüğümüz gibi, cracker bir finger finger kullanici@gercek_sunucu.com@gecici_sunucu.com Aslında finger bir sistemdeki kullanıcıların listesini çıkarmak için kullanılan tek yol değildir bundan başka güvenlik dünyasında çok fazla güvenlik açığı bulmasıyla meşhur olan sendmail programı da kullanılabilir.
Bunu test etmek için bir SMTP sunucusuna telnet etmek yeterlidir Bunu test etmek için bir SMTP sunucusuna telnet etmek yeterlidir. Örnek olarak; telnet smtp_sunucusu.com 25 Bu komut smtp_sunucusu.com sunucusunun 25 numaralı portuna (yani SMTP portuna) telnet bağlantısı sağlar. SMTP mail göndermek için kullanılan bir protokoldür. Ancak telnet yapildiktan sonra SMTP sunucusunun izin verdiği bir dizi komut kullanılabilir. mail from, rcpt to, data , quit gibi komutlar çalıştırılabilir. Ancak iki tane komut vardır ki bunlar sistemdeki kullanıcılar hakkında bilgi vermektedir. Bunlar vrfy ve expn komutlarıdır. Bu komutlar sistemde bulunan bir kullanıcı ID’sini onaylamak için kullanılırlar.
2. İşletim Sisteminin Belirlenmesi Cracker sistem yöneticisi ve ağ hakkında gerekli bilgileri topladıktan sonra saldıracağı ağda bulunan sistemlerde kullanılan işletim sistemlerini ve sürümlerini belirlemek için bir önceki kısımda anlatılan tekniklerin dışında cracker işletim sistemlerini belirlemek için ftp, telnet gibi servisleri deneyebileceği gibi hemen hemen kesin çözüm verecek olan nmap aracını kullanabilir. Nmap aslında bir port tarayıcısıdır. Ancak nmap ayni zamanda taranan sistemdeki çalışan işletim sistemini de büyük bir doğruluk oranıyla tahmin edebilmektedir.
3. Açıkların Aranması Cracker saldıracağı sistemlerin listesini çıkardıktan sonra her bir platform için bilinen açıkları Internet’te aramaya başlayacaktır. Bu noktaya kadar cracker aşağıdaki adımların hepsini yada belli bir kısmını belirlemiştir: -Sistem yöneticisinin kim olduğunu, -Ağdaki makineler ve işlevleri -Kullanılan işletim sistemlerini, -Muhtemel güvenlik açıklarını, -Sistem yöneticisi tarafından topoloji, yönetim, politika yada sistem yönetimiyle ilgili Internet’te yaptığı herhangi bir tartışma
4. Test Saldırısı Yapılması Bu adımda cracker saldıracağı sistemle ilgili olarak bazı noktaları açığa kavuşturmak için kendi sistemlerinde deneme saldırısı yapmayı deneyecektir. Temel amacı vardır: -Saldırılar saldırı yapan tarafından nasıl görünüyor, -Saldırılar kurban tarafından nasıl görünüyor, -Saldırgan saldırıda bulunduğu makinedeki log’ları inceleyerek karşı tarafta saldırı ile ilgili nelerin olup bittiğini anlar. Bu şekilde cracker karşı sistemde saldırıdan kalan izleri bilir.
5. Kullanılacak Araçlar Cracker bir sonraki adımda kullanacağı araçları belirleyip toplayacaktır. Bu araçlar genellikle tarayıcılardır. Hedef sistemdeki çalışan servislerin belirlemesi gerekmektedir. Bunun için port tarayıcılarından yararlanılmaktadır. Port tarayıcıları içinde en ünlü ve kapsamlı olanı nmap aracıdır.
6. Saldırı Stratejisinin Belirlenmesi Cracker planlı bir saldırıyı bir neden olmadan yapmayacaktır. Benzer bir şekilde saldırı yapacağı bir sisteme de belli bir planı olmadan saldırmayacaktır. Cracker’in saldırı stratejisi yapmak istediği işe göre değişir. Örnek olarak cracker topladığı tüm bilgilerden saldıracağı ağın bazı bölümlerinin router , switch , birdge yada diğer cihazlarla segmente edildiğini bulursa bu kısımları tarama dışı bırakabilir. Bundan sonra tarama işlemine geçebilir.
7. İnceleme Aşaması Cracker taramalardan sonra bulduğu sonuçların incelemesine başlayacaktır. Bu işlem cracker’in bulduğu sonuçlara bağlıdır. Artık çoğu tarayıcı, SAINT, twwwscan, CIS... buldukları açıklarla ilgili olarak açıklayıcı bilgi ve o açıkla ilgili Internet adreslerini de vermektedirler. Hatta SATAN, SAINT gibi tarayıcılar açıklarla ilgili veri tabanları da tutmaktadırlar sadece bunların incelenmesi bile cracker için çok önemli bilgiler sağlayabilir. Bu noktada cracker daha önce açıkları toplamak için bas vurduğu sitelere giderek , BUGTRAQ gibi, bulduğu açıklarla ilgili olarak daha ayrıntılı bir araştırma yapabilir.
8. Sonuç Cracker’in nerelerden nasıl saldıracağını bilirsek ve atacağımız adımlarda bu noktalara da dikkat ederek açık verecek bir durum oluşturmamış oluruz.